Le FIC manque quand même un peu d’humour

rainbowhatLe Forum International de Cybersécurité se tient les 25 et 26 janvier à Lille. Il s’agit d’un très bel évenement où se donnent rendez-vous une bonne partie de l’écosystème de la sécurité informatique. Et quand on parle de sécurité informatique, on y inclu au FIC les forces de l’ordre, les professionnels et les amateurs. Cette mixité a fait du FIC au fil des éditions un espace d’échange et de rencontre assez hors du commun, largement salué par l’ensemble de la communauté.

Le FIC lieu d’échange, symbole d’ouverture ce n’est pas que sur la plaquette de l’avis de nombreux participants. Mais quand une jeune startup met le doigt sur une faille de sécurité du site web du FIC, on a quand même l’impression que ce petit monde de la sécurité est ancré à ses vieux démons. 01Net a relaté l’histoire de Cesar Security, cette jeune startup qui a épinglé le site du FIC, contacté les responsable de ce site, avant de se retrouver en garde à vue avec son matériel saisi.

Niveau calendrier, cette affaire ne pouvait pas plus mal tomber, juste après l’adoption à l’assemblée nationale d’un amendement visant à exempter de peine (et non de poursuite, de garde à vue, ni même de condamnation) les personnes qui remonteraient des failles de sécurité.

En l’état, même si c’est un bon début, cet amendement est loin d’être satisfaisant. Déjà parce qu’on peut estimer qu’on a autre chose à faire que de la garde à vue quand on est chercheur et qu’on trouve. D’autre part parce que ça coûte vite cher en matériel (nous pourrions épiloguer longtemps sur la restitution de matériel saisi… mais on vous fera comprendre qu’il vaut mieux tirer un trait dessus), et surtout, qui dit poursuite dit frais de défense.

Remonter une vulnérabilité, avec cet amendement ou non, ça coûte donc plusieurs milliers d’euros, même si vous êtes dispensés d’amende.

Mais pour en revenir à l’affaire Cesar Security, nous sommes très surpris chez Reflets de cette réaction des organisateurs du FIC attendu que le FIC est quand même l’évènement qui concentre des sociétés qui s’adonnent aux mêmes pratiques que cette jeune startup.

Souvenez vous, nous étions en janvier 2014. Nos amis d’iTrust avaient jugé bon de lancer un audit sauvage sur Reflets.info et de nous envoyer un rapport d’audit en nous « conseillant vivement de corriger ». Le hic, c’était qu’iTrust n’était pas bien intime avec le versionning des packages Debian et se laissait abuser par les faux positifs remontés par son outil. L’affaire nous avait surtout beaucoup amusé et elle est pourtant très similaire (les vulnérabilités réelles et sérieuses en moins). Reflets aurait tout à fait pu, comme le FIC, porter plainte contre l’un des intervenants majeurs (enfin il parait) de cet évènement, pour les mêmes motifs qui ont motivé le FIC à porter plainte contre Cesar Security. Ça aurait fait un peu tâche quand même non ?

Bref, nous regrettons que le FIC manque d’humour et de recul à l’égard de cette jeune société, car même sans connaitre en détail le fond de l’histoire, le FIC porte ici plainte au motif d’une pratique dramatiquement banale de ce petit écosystème, et surtout, envoi un mauvais signal à une période où nous aurions tous à gagner à échanger de manière sereine et ouverte.

Twitter Facebook Google Plus email


8 thoughts on “Le FIC manque quand même un peu d’humour”

  1. La semaine derniere, je me balade sur pastebin, tombe sur un listing d’IP compromises, et, plein de bonne volonté, prévient le webmaster concerné.
    Résultat, j’ai appris des nouveaux gros mots en anglais …

    Si on gène, qu’on me dise à quoi ça sert d’être white hat ?

  2. On n’aura jamais tous les détails, maintenant balancer publiquement sur twitter « hey z’avez corrigé la faille qu’on a trouvé ou pas ? »

    c’était clairement pour se faire de la pub sur le dos du FIC et entamer leur réputation, et les forcer a agir. On n’est pas loin du chantage; acceptez notre prestation ou on continue de dire publiquement que votre forum de sécurité est un gruyère.

    Perso je comprends la réaction du FIC. C’était pas bien finaud, mais l’action de cesar security ne valait pas mieux.

    1.  » on est pas loin du chantage  » .. Qu’est ce que j’ai mal aux yeux quand je vois ce genre de discours !
      Vous êtes du genre à ne pas vouloir vous faire entendre, eux, ils ont été au culot et je tire mon rainbow hat à ces gars .

      1. Quelqu’un qui dit publiquement qu’il y a une faille de sécurité, avec en sous entendu « corrigez la et on arrête le bad buzz », vous appelez ca comment ?

        Ca vous fait mal aux yeux ? Mettez un autre mot sur cette pratique dans ce cas.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *